[Hinweis] Gefahren durch Port-Freischaltungen
-
@oliverio Das Skriptwelches erwähnt wird (also genau zwei) sind auf dem Rechner wenn der Adaoter installiert wird/wurde.
-
@apollon77 Hast du den Adapter installiert und getestet?
@wendy2702 Trocketn isnstalliert weil ich in die Dateien schauen wollte, getestet und sowas NEIN
-
@tom_w
Hallo,es gibt jetzt einen Adapter, der ein WireGuard VPN einrichten lässt ohne dass die Ports in der Fritzbox weitergeleitet werden müssen. Die Verbindung wird vom Adapter zum Server aufgebaut, solange der Adapter läuft.
Hier ist die Beschreibung: https://htmlpreview.github.io/?https://github.com/iwg-vpn/iobroker.iwg-vpn/blob/main/howto/read-me.html
@iwg
Die Fritzbox unterstützt ab der Version 7.50 wireguard.
Ich habe seit ein paar Wochen die Laborversion 7.39 drauf. Kann ich nur empfehlenIObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@iwg
Die Fritzbox unterstützt ab der Version 7.50 wireguard.
Ich habe seit ein paar Wochen die Laborversion 7.39 drauf. Kann ich nur empfehlen@mathiasj sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Die Fritzbox unterstützt ab der Version 7.50 wireguard.
Ich habe seit ein paar Wochen die Laborversion 7.39 drauf. Kann ich nur empfehlenhttps://www.netzwelt.de/news/197094-avm-zuendet-vpn-turbo-wireguard-bald-fritzbox.html
Zitat:
SlurfyYT hat eine entsprechende AVM-Firmware in die Hände bekommen und konnte damit schon Geräte verbinden und erste Geschwindigkeitstests durchführen. Diese erbrachten folgende Ergebnisse:Ohne VPN: 100 Mbit/s im Downstream 40 Mbit/s im Upstream
Fritz!VPN: 54 Mbit/s im Downstream 30 Mbit/s im Upstream
WireGuard: 60 Mbit/s im Downstream 36 Mbit/s im UpstreamAn dem Geschwindigkeitsvorteil müssen sie aber noch basteln, das Ergebnis haut mich nicht um.
tschuess
-
Hallo,
ich nutze iobroker bzw. die VIS nur per VPN von extern.
Bin also gut abgesichert.Jetzt aber noch diese Frage, selbst wenn jemand meine Portweiterleitung findet, muß er ja erst noch meine Logindaten herausfinden.
Wie kann das möglich sein?Grüße
ChristophProxmox Cluster mit ioBroker, Wireguard, HomeAssistant (Testsystem), paperlessNGX, MariaDB, PiHole, Grafana, InfluxDB, 1 x BKW 600 Wp, 2 x BKW 400 Wp, 2 x SolarFlow 800 Pro mit 11,52 kWh Akku und 3,48 kWp, OpenDTU, AhoyDTU, HmIP, Shellys, AVM LAN/WLAN
-
Hallo,
ich nutze iobroker bzw. die VIS nur per VPN von extern.
Bin also gut abgesichert.Jetzt aber noch diese Frage, selbst wenn jemand meine Portweiterleitung findet, muß er ja erst noch meine Logindaten herausfinden.
Wie kann das möglich sein?Grüße
Christoph@cbrocker Naja, also
1.) Musst Du auch Authentication für Deinen ioBroker aktiviert haben, was man ja nicht nutzen muss. Lso ja, WENN Du es an hast bietet das Sicherheit
2.) je nachdem was Du erreichbar machst (zb Web Adapter) gibt es vllt dennoch Visualisierungen oder Tools die rreichbar sind, wenn da nicht auch Authentication aktiv ist
3.) Wir können nicht alle Adapter auf Ihre Sicherheit prüfen, von daher kann niemand dir die Garantie geben das nicht Adapter "löcher bieten". Auch wenn die Core-Adapter msiet geprüft werden bevor Dinge geändert werden machen wir keine Penetration-tests. Also efektiv kann nkeiner sagen ob nicht vllt doch irgendwo etwas ist - auch ggf basierend auf der vom jeweiligen User genutzen Node-js Version oder so ... -
Hallo,
ich nutze iobroker bzw. die VIS nur per VPN von extern.
Bin also gut abgesichert.Jetzt aber noch diese Frage, selbst wenn jemand meine Portweiterleitung findet, muß er ja erst noch meine Logindaten herausfinden.
Wie kann das möglich sein?Grüße
Christoph@cbrocker
deinen offenen Port finden die Leute im Internet zu 100% und meist schon innerhalb wenigen Minuten.
Wenn du das testen willst, kannst du ja einmal auf Basis von docker selbst einen ssh-honeypot mit cowrie aufsetzen und selbst beobachen wer da so alles kommt
https://hub.docker.com/r/cowrie/cowrieHacker verwenden passwörter nur wenn sie diese per social engineering erhalten haben oder über einen brute force angriff. daher sollte man auch entsprechend komplexe passwörter verwenden die nicht in irgendwelchen wörterbücher stehen oder aus teilen daraus sich zusammensetzen.
die größte gefahr, wie apollon schön sagte, sind die existierenden software fehler, welche entweder entdeckt worden sind oder von den meisten noch unentdeckt schlummern aber von einzelnen schon ausgenutzt werden.
diese fehler existieren nicht nur auf ebene iobroker-adapter, sondern auch im iobroker selbst, oder auch dem betriebssystem.
Auch in deiner vpn-software können sich noch fehler befinden. Allerdings ist diese software ja speziell dazu gedacht im internet zu stehen und dort werden neue fehler meist auch schnell behoben. -
@cbrocker
deinen offenen Port finden die Leute im Internet zu 100% und meist schon innerhalb wenigen Minuten.
Wenn du das testen willst, kannst du ja einmal auf Basis von docker selbst einen ssh-honeypot mit cowrie aufsetzen und selbst beobachen wer da so alles kommt
https://hub.docker.com/r/cowrie/cowrieHacker verwenden passwörter nur wenn sie diese per social engineering erhalten haben oder über einen brute force angriff. daher sollte man auch entsprechend komplexe passwörter verwenden die nicht in irgendwelchen wörterbücher stehen oder aus teilen daraus sich zusammensetzen.
die größte gefahr, wie apollon schön sagte, sind die existierenden software fehler, welche entweder entdeckt worden sind oder von den meisten noch unentdeckt schlummern aber von einzelnen schon ausgenutzt werden.
diese fehler existieren nicht nur auf ebene iobroker-adapter, sondern auch im iobroker selbst, oder auch dem betriebssystem.
Auch in deiner vpn-software können sich noch fehler befinden. Allerdings ist diese software ja speziell dazu gedacht im internet zu stehen und dort werden neue fehler meist auch schnell behoben.@oliverio sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Allerdings ist diese software ja speziell dazu gedacht im internet zu stehen und dort werden neue fehler meist auch schnell behoben.
Und die aktuelle Software muss auch installiert sein. Deswegen auch hier nochmal der Hinweis auf: Haltet die Systeme auf aktuellem Stand. Und zwar alle und immer und regelmäßig.
-
@oliverio sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Allerdings ist diese software ja speziell dazu gedacht im internet zu stehen und dort werden neue fehler meist auch schnell behoben.
Und die aktuelle Software muss auch installiert sein. Deswegen auch hier nochmal der Hinweis auf: Haltet die Systeme auf aktuellem Stand. Und zwar alle und immer und regelmäßig.
@thomas-braun Danke!
also eigentlich sollte das Ding ja am Guest LAN laufen, aber dann hab ich wieder meine wichtigen Sachen die ich ueberwachen /testen moechte nicht in Sichtweite :-)
-
@cbrocker Naja, also
1.) Musst Du auch Authentication für Deinen ioBroker aktiviert haben, was man ja nicht nutzen muss. Lso ja, WENN Du es an hast bietet das Sicherheit
2.) je nachdem was Du erreichbar machst (zb Web Adapter) gibt es vllt dennoch Visualisierungen oder Tools die rreichbar sind, wenn da nicht auch Authentication aktiv ist
3.) Wir können nicht alle Adapter auf Ihre Sicherheit prüfen, von daher kann niemand dir die Garantie geben das nicht Adapter "löcher bieten". Auch wenn die Core-Adapter msiet geprüft werden bevor Dinge geändert werden machen wir keine Penetration-tests. Also efektiv kann nkeiner sagen ob nicht vllt doch irgendwo etwas ist - auch ggf basierend auf der vom jeweiligen User genutzen Node-js Version oder so ...@apollon77
@OliverIO
Hallo ihr beiden,
vielen Dank für die Hinweise. Ja, stimmt, natürlich sollte das ganze System immer aktuell sein. Da bin ich schon immer sehr penibel hinterher.
Kennwörter habe ich auch überall unterschiedliche.
Grüße und ein schönes WE :-)
645
Online32.7k
Users82.5k
Topics1.3m
Posts